Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un parámetro de petición HTTP en la interfaz web en McAfee Advanced Threat Defense (ATD) (CVE-2020-7269)
Fecha de publicación:
15/04/2021
Idioma:
Español
Una vulnerabilidad de Exposición de Información Confidencial en la interfaz web en McAfee Advanced Threat Defense (ATD) anterior a versión 4.12.2, permite a usuarios autenticados remotos visualizar información confidencial no cifrada por medio de un parámetro de petición HTTP cuidadosamente diseñado. El riesgo es parcialmente mitigado si sus instancias de ATD son implementadas como se recomienda sin acceso directo desde Internet hacia ellas
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/11/2023

Vulnerabilidad en la implementación de las respuestas a los mensajes enviados por webhooks en Zulip Server (CVE-2021-30477)
Fecha de publicación:
15/04/2021
Idioma:
Español
Se detectó un problema en Zulip Server versiones anteriores a 3.4. Un bug en la implementación de las respuestas a los mensajes enviados por webhooks salientes a transmisiones privadas significaba que un bot webhook saliente podía usarse para enviar mensajes a transmisiones privadas a las que el usuario no tenía la intención de poder enviar mensajes
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2022

Vulnerabilidad en la implementación del permiso can_forge_sender en Zulip Server (CVE-2021-30478)
Fecha de publicación:
15/04/2021
Idioma:
Español
Se detectó un problema en Zulip Server versiones anteriores a 3.4. Un bug en la implementación del permiso can_forge_sender (anteriormente es_api_super_user) hizo a unos usuarios con este permiso pudieran enviar mensajes que parecían enviados por un bot del sistema, inclusive a otras organizaciones alojadas por la misma instalación de Zulip
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2022

Vulnerabilidad en la funcionalidad API all_public_streams en Zulip Server (CVE-2021-30479)
Fecha de publicación:
15/04/2021
Idioma:
Español
Se detectó un problema en Zulip Server versiones anteriores a 3.4. Un bug en la implementación de la funcionalidad API all_public_streams resultó en que usuarios invitados pudieran recibir tráfico de mensajes a transmisiones públicas que solo deberían haber sido accesibles para los miembros de la organización
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2022

Vulnerabilidad en la API en Zulip Server (CVE-2021-30487)
Fecha de publicación:
15/04/2021
Idioma:
Español
En el tema de mover API en Zulip Server versiones 3.x anteriores a 3.4, unos administradores de la organización pudieron mover mensajes a transmisiones en otras organizaciones alojadas por la misma instalación de Zulip
Gravedad CVSS v3.1: BAJA
Última modificación:
12/07/2022

Vulnerabilidad en la visualización de búsqueda y navegación en el parámetro pollution en Jira Server y Data Center (CVE-2020-36288)
Fecha de publicación:
15/04/2021
Idioma:
Español
La visualización de búsqueda y navegación de problemas en Jira Server y Data Center versiones anteriores a 8.5.12, desde versión 8.6.0 versiones anteriores a 8.13.4 y desde versión 8.14.0 versiones anteriores a 8.15.1, permite a atacantes remotos inyectar HTML o JavaScript arbitrario por medio de una vulnerabilidad de Cross-Site Scripting (XSS) DOM causada por el parámetro pollution
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2022

Vulnerabilidad en el mensaje de error en el plugin de importadores de Jira AttachTemporaryFile rest resource en Jira Server y Data Center (CVE-2021-26075)
Fecha de publicación:
15/04/2021
Idioma:
Español
El recurso de rest AttachTemporaryFile del plugin de importadores de Jira en Jira Server y Data Center versiones anteriores a 8.5.12, desde versión 8.6.0 versiones anteriores a 8.13.4, y desde versión 8.14.0 versiones anteriores a 8.15.1, permitía a atacantes remotos autentificados obtener la ruta completa del directorio de datos de la aplicación Jira por medio de una vulnerabilidad de divulgación de información en el mensaje de error cuando se presentaba un nombre de archivo no válido
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2022

Vulnerabilidad en la cookie jira.editor.user.mode ajustada por Jira Editor Plugin en Jira Server y Data Center (CVE-2021-26076)
Fecha de publicación:
15/04/2021
Idioma:
Español
La cookie jira.editor.user.mode ajustada por Jira Editor Plugin en Jira Server y Data Center versiones anteriores a 8.5.12, desde versión 8.6.0 versiones anteriores a 8.13.4 y desde versión 8.14.0 versiones anteriores a 8.15.0, permite a atacantes anónimos remotos poder llevar a cabo un ataque de tipo attacker in the middle para saber en qué modo está editando un usuario debido a que la cookie no está ajustada con un atributo seguro si Jira estaba configurado para usar https
Gravedad CVSS v3.1: BAJA
Última modificación:
30/03/2022

Vulnerabilidad en una petición GET en Mdaemon (CVE-2021-27180)
Fecha de publicación:
14/04/2021
Idioma:
Español
Se detectó un problema en MDaemon versiones anteriores a 20.0.4. Se presenta una vulnerabilidad de tipo XSS reflejado en Webmail (también se conoce como WorldClient). Puede ser explotado por medio de una petición GET. Permite llevar a cabo cualquier acción con los privilegios del usuario atacado
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/04/2021

Vulnerabilidad en la administración remota en Mdaemon (CVE-2021-27183)
Fecha de publicación:
14/04/2021
Idioma:
Español
Se detectó un problema en MDaemon versiones anteriores a 20.0.4. Los administradores pueden usar la administración remota para explotar una vulnerabilidad de escritura arbitraria de archivos. Un atacante puede crear archivos nuevos en cualquier ubicación del sistema de archivos, o puede ser capaz de modificar archivos existentes. Esta vulnerabilidad puede conllevar directamente a una Ejecución de Código Remota
Gravedad CVSS v3.1: ALTA
Última modificación:
21/04/2021

Vulnerabilidad en un mensaje de correo electrónico en Webmail en Mdaemon (CVE-2021-27182)
Fecha de publicación:
14/04/2021
Idioma:
Español
Se detectó un problema en MDaemon versiones anteriores a 20.0.4. Se presenta una vulnerabilidad de inyección de IFRAME en Webmail (también se conoce como WorldClient). Puede ser explotada por medio de un mensaje de correo electrónico. Permite a un atacante llevar a cabo cualquier acción con los privilegios del usuario atacado
Gravedad CVSS v3.1: ALTA
Última modificación:
21/04/2021

Vulnerabilidad en una URL en Mdaemon (CVE-2021-27181)
Fecha de publicación:
14/04/2021
Idioma:
Español
Se detectó un problema en MDaemon versiones anteriores a 20.0.4. Una Administración Remota permite a un atacante llevar a cabo una reparación del token anti-CSRF. Para explotar este problema, el usuario debe hacer clic en una URL maliciosa proporcionada por el atacante y autenticarse con éxito en la aplicación. Teniendo el valor del token anti-CSRF, el atacante puede engañar al usuario al visitar su página maliciosa y llevar a cabo cualquier petición con los privilegios del usuario atacado
Gravedad CVSS v3.1: ALTA
Última modificación:
21/04/2021
Suscribirse a Vulnerabilidades